CN111814130A - 单点登录方法及系统 - Google Patents
单点登录方法及系统 Download PDFInfo
- Publication number
- CN111814130A CN111814130A CN202010638962.5A CN202010638962A CN111814130A CN 111814130 A CN111814130 A CN 111814130A CN 202010638962 A CN202010638962 A CN 202010638962A CN 111814130 A CN111814130 A CN 111814130A
- Authority
- CN
- China
- Prior art keywords
- account
- token
- internal
- external
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000013507 mapping Methods 0.000 claims abstract description 34
- 238000012795 verification Methods 0.000 claims description 57
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 6
- 238000013461 design Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 12
- 239000000284 extract Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000003032 molecular docking Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
Abstract
本发明公开一种单点登录方法及系统,其中方法包括以下步骤:获取外部系统的登录请求,所述登录请求包括令牌;对所述令牌进行验证,验证成功时,获取相对应的外部帐号;获取与所述外部帐号相映射的内部账号;基于所述内部账号完成登录。本发明通过账户映射关系的设计,无需用户于外部系统中配置登录关联系统的帐号密码,甚至无需用户在关联系统中具有对应帐号,在满足安全性的同时,能够简洁、方便的满足外部系统的单点登录接入。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种单点登录方法及系统。
背景技术
单点登录(SingleSignOn,SSO),通过用户的一次性鉴别登录。当用户于应用系统中完成一次身份认证后,即可获得访问该应用系统的关联系统的权限,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理。
现有单点登录的方法:
令应用登录系统和其他关联系统使用相同的账户密码,只需登录一次,通过应用系统登录其他关联系统时,由应用系统自动输入账户密码完成登录。
预先在应用系统中配置其他关联系统的账户密码,通过应用系统登录其他关联系统时,由应用系统调取相应的账户密码完成登录,例如发明专利《单点登录方法、单点登录终端及单点登录系统》(CN107294916B)中所公开的技术方案。
统一应用系统和其他关联系统的帐号密码的技术方案缺乏实用性;调取关联系统的账户密码实现登录的技术方案,需要用户预先配置各关联系统的账户密码,用户体验低。
发明内容
本发明针对现有技术中的缺点,提供了一种无需预先配置各关联系统的账户密码的单点登录方法及系统。
为了解决上述技术问题,本发明通过下述技术方案得以解决:
一种单点登录方法,包括以下步骤:
获取外部系统的登录请求,所述登录请求包括令牌;
对所述令牌进行验证,验证成功时,获取相对应的外部帐号;
获取与所述外部帐号相映射的内部账号;
基于所述内部账号完成登录。
作为一种可实施方式:
提取预设的令牌验证地址,基于所述令牌验证地址将所述令牌发送至外部系统的验证服务器,由所述外部系统的验证服务器验证所述令牌是否有效;
当所述令牌有效时,接收由所述外部系统的验证服务器返回的外部帐号,否则接收验证失败信息。
作为一种可实施方式:
从预设的认证数据库中对所述外部帐号的帐号映射关系进行查询,获得查询结果;
当所述查询结果为帐号映射关系时,基于所述帐号映射关系提取相映射的内部帐号;
当所述查询结果为空时,新建内部帐号,并创建相应的账户映射关系,令所述内部帐号与所述外部帐号相映射。
作为一种可实施方式:
所述登录请求还包括用户标识和签名;
对所述令牌进行验证前,还包括信息校验步骤,具体步骤为:
基于预设的白名单对所述用户标识进行匹配;
匹配成功后,对所述签名进行验签;
验签成功后,对所述令牌进行验证。
作为一种可实施方式,基于所述内部账号完成登录后,还包括会话步骤:
创建内部会话,并创建所述内部会话与外部系统的会话关系,生成会话关系表;
基于会话关系表,刷新相应令牌的过期时间。
作为一种可实施方式,生成会话关系表后还包括单点登出的方法,具体包括内部登出方法和外部登出方法;
内部登出方法为:采集用户的登出操作,基于会话关系表提取相应令牌并基于所述令牌生成登出请求并发送至外部系统,令对应外部帐号登出,同时执行登出操作,令内部帐号登出;
外部登出方法为:基于会话关系表提取相应令牌,基于所述令牌实时检测相应外部账户的登录状态,当所述登录状态为登出时,令对应内部帐号登出;
所述内部帐号登出后于所述会话关系表中删除相应的会话关系。
本发明还提出一种单点登录系统,包括:
接收模块,用于获取外部系统的登录请求,所述登录请求包括令牌;
验证模块,用于对所述令牌进行验证,验证成功时,获取相对应的外部帐号;
帐号映射模块,用于获取与所述外部帐号相映射的内部账号;
登录模块,用于基于所述内部账号完成登录。
作为一种可实施方式,还包括会话模块,所述会话模块被配置为:
创建内部会话,并创建所述内部会话与外部系统的会话关系,生成会话关系表;
基于会话关系表,刷新相应令牌的过期时间。
作为一种可实施方式,还包括单点登出模块,其包括内部登出单元和外部登出单元;
内部登出单元,用于采集用户的登出操作,基于会话关系表提取相应令牌并基于所述令牌生成登出请求并发送至外部系统,令对应外部帐号登出,同时执行登出操作,令内部帐号登出;
外部登出单元,用于基于会话关系表提取相应令牌,基于所述令牌实时检测相应外部账户的登录状态,当所述登录状态为登出时,令对应内部帐号登出;
所述内部帐号登出后于所述会话关系表中删除相应的会话关系。
本发明还提出一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现上述任意一项所述方法的步骤。
本发明由于采用了以上技术方案,具有显著的技术效果:
1、本发明通过账户映射关系的设计,无需用户于外部系统中配置登录关联系统的帐号密码,甚至无需用户在关联系统中具有对应帐号,在满足安全性的同时,能够简洁、方便的满足外部系统的单点登录接入。
2、本发明通过信息校验,判断外部系统是否恶意发起单点登录,还能验证所接收的信息是否被篡改,提高安全性。
3、本发明通过会话关系表的设计,能够基于会话关系表刷新token的过期时间,令外部帐号保持登录状态。
4、本发明通过单点登出的设计,无需用户依次进行登出操作,满足用户对数据安全的高要求的同时便捷用户登出操作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一种单点登录方法的流程示意图;
图2是本发明一种单点登录系统的模块连接示意图;
图3是图2中验证模块200的模块连接示意图;
图4是图2中帐号映射模块300的模块连接示意图;
图5是图2中单点登出模块600的模块连接示意图。
图中:
100是接收模块、200是验证模块、210是校验单元、220是验签单元、230是验证单元、240是外部帐号获取单元、300是帐号映射模块、310是查询单元、320是帐号提取单元、330是帐号新建单元、400是登录模块、500是会话模块、600是单点登出模块、610是内部登出单元、620是外部登出单元、630是会话关系删除单元。
具体实施方式
下面结合实施例对本发明做进一步的详细说明,以下实施例是对本发明的解释而本发明并不局限于以下实施例。
实施例1、一种单点登录方法,如图1所示,包括以下步骤:
S100、获取外部系统的登录请求,所述登录请求包括令牌;
S200、对所述令牌进行验证,验证成功时,获取相对应的外部帐号;
S300、获取与所述外部帐号相映射的内部账号;
S400、基于所述内部账号完成登录。
本实施例中,以用户所在的应用系统作为外部系统,以用户通过所述应用系统单点登录的关联系统作为内部系统,本实施例所公开的单点登录方法为内部系统在单点登录过程中所执行的步骤。
上述外部账户为用户登录外部系统的帐号信息,内部账户为用户登录内部系统的帐号信息,帐号信息包括账户和密码。
本实施例通过令牌验证用户身份,获得外部帐号,并通过外部帐号与内部帐号的映射关系完成登录,从而在确保安全的前提下,无需用户预先在外部系统中配置相应的内部帐号即可实现单点登录。
进一步地,步骤S200中对所述令牌进行验证,验证成功时,获取相对应的外部帐号的具体步骤为:
提取预设的令牌验证地址,基于所述令牌验证地址将所述令牌发送至外部系统的验证服务器,由所述外部系统的验证服务器验证所述令牌是否有效;
当所述令牌有效时,接收由所述外部系统的验证服务器返回的外部帐号,否则接收验证失败信息。
上述令牌例如可采用token和/或ticket,本实施例以token为例进行详细说明;
用户预先在外部系统登录,由外部系统自行验证用户身份,当用户登录成功后外部系统将自动生成相对应的token,token用于指示用户身份的有效性,以确定该登录请求为外部系统中处于登录状态的用户提出。
预先建立内部系统的单点登录接口(url地址),用户通过外部系统单点登录内部系统时,操作外部系统调用所述单点登录接口,传入登录请求。
内部系统获取登录请求中的token后,调用预设的令牌验证地址(url地址),将所得token传入至外部系统的验证服务器中认证该token是否有效,当外部系统的验证服务器验证该token有效时,将返回当前用户的userID和orgID(即外部帐号)。
本实施例通过获取外部系统的令牌,并对令牌的有效性进行验证,以确保单点登录的安全性。本实施例对外部系统的依赖较少,在对接过程中,无需基于外部系统对内部系统进行适配性开发,大大降低了接入外部系统时所需的开发成本和接入成本。
例如本实施例可适用于为其他企业提供服务的服务系统,该服务系统需要与大量合作企业的企业系统相对接,使用户能够在企业系统中单点登录服务系统,以利用服务系统所提供的服务功能。
由于服务系统对接大量企业系统,如每对接一个企业系统就按照企业系统做适配性开发,使用户能够利用该企业系统进行单点登录,开发工作量大,而本实施例仅需企业系统传入token,或根据需要提供信息回调接口以接收服务系统反馈的登录消息,提高服务系统的通用性和兼容性,大大降低接入和开发成本。
注,外部系统和内部系统之间所传输的数据信息均为加密处理后的数据信息,本实施例按字典序排序加签,保证数据安全。
进一步地,步骤S300中获取与所述外部帐号相映射的内部账号的具体步骤为:
S310、从预设的认证数据库中对所述外部帐号的帐号映射关系进行查询,获得查询结果;
上述认证数据库中保存相映射的外部账号和内部账号;
本领域的技术人员可根据实际需要进行帐号映射同步,使管理人员通过外部系统对帐号映射关系进行管理,包括但不限于增加帐号、删除帐号、修改帐号和查询帐号。
S321、当所述查询结果为帐号映射关系时,基于所述帐号映射关系提取相映射的内部帐号;
S322、当所述查询结果为空时,新建内部帐号,并创建相应的账户映射关系,令所述内部帐号与所述外部帐号相映射。
如该用户存在相应的内部帐号,则可按照步骤S321中认证数据库中提取该内部帐号,从而利用该内部帐号自动登录内部系统。如该用户初次使用内部系统,则可按照步骤S322中自动新建内部帐号并将其与外部帐号建立映射关系,利用该内部帐号自动登录内部系统。
由上可知,本实施例所提出的单点登录方法,无需用户于外部系统中配置登录关联系统的帐号密码,甚至无需用户在关联系统中具有对应帐号,在满足安全性的同时,能够简洁、方便的满足外部系统和内部系统的单点登录接入。
进一步地:
所述登录请求还包括用户标识和签名;
对所述令牌进行验证前,还包括信息校验步骤,具体步骤如下:
A、基于预设的白名单对所述用户标识进行匹配;
上述用户标识为ak(access key);
当内部系统接入外部系统,即,允许用户通过外部系统单点登录至内部系统时,将预先为外部系统生成相对应的用户标识和对称加密通信的秘钥sk(secret access key),并将上述用户标识和秘钥分配给对应外部系统;
基于所生成的用户标识建立白名单;
当接收到登录请求后,获取登录请求中的用户标识,将用户标识与白名单中的用户标识相匹配,以判断对应的外部系统是否以建立对接关系,从而防止未建立对接关系的系统恶意调用内部系统的单点登录接口。
B、匹配成功后,对所述签名进行验签;
本实施例中验签方式为,基于相对应的秘钥对登录请求中的数据信息进行md5加签,将生成的签名与登录信息中携带的签名相比较,如一致则验签成功;
通过秘钥再次加签以实现验签属于现有验签技术,故不再本说明书中详细告知。
本实施例通过验签步骤判断信息是否被篡改。
C、验签成功后,对所述令牌进行验证。
为进一步保障安全性,在接到登录请求后,首先按照上述步骤A和步骤B进行信息校验,校验成功后再按照上述步骤S200对令牌进行验证。
在实际使用过程中,通过外部系统向用户反馈信息校验结果(匹配结果和验签结果)和令牌检验结果,便于用户获知并解决导致单点登录失败的问题。
进一步地,基于所述内部账号完成登录后,还包括会话步骤,具体步骤为:
S510、创建内部会话,并创建所述内部会话与外部系统的会话关系,生成会话关系表;
S520、基于会话关系表,刷新相应令牌的过期时间。
本实施例中会话关系表能够指明通过单点登录的所创建的内部会话,以及该内部会话所对应的外部系统,故可根据会话关系表中提取并实时检测各外部系统的令牌的状态;
当检测某令牌即将过期时,如令牌的过期时间与当前时间达到预设的刷新阈值时,基于令牌向外部系统发送相应的刷新请求,令外部系统刷新该令牌的过期时间,从而保持外部帐号的登录状态。
现今为信息保密,各系统的令牌存在过期时限,当用户在系统中进行相应操作时将基于过期时限刷新所述令牌的过期时间,使用户的账号保持登录状态;同理,如用户在系统中未进行操作达到过期时间,所述令牌将过期,用户的账号将自动登出,从而保护账号信息安全。
在实际使用过程中,用户通过单点登录的方式由外部登录内部系统,于内部系统中进行操作,此时外部系统往往因用户长时间未操作导致令牌过期,账号自动登出,当用户返回外部系统时往往需要重新登录。
当外部系统为企业系统,内部系统为服务系统,企业员工在工作过程中通过企业系统单点登录至服务系统使用相应服务;按照现有技术,企业系统存在因过期实现内未监测到用户操作自动退出,而企业员工在使用服务时如需要企业系统中数据,还需再次登录企业系统,便捷性低。
本实施例通过建立会话关系表,在用户通过外部系统单点登录至内部系统后,能够维护内部系统会话关系的同时维护外部系统的会话关系,避免外部帐号自动登出带来的不便。
进一步地,生成会话关系表后还包括单点登出的方法,具体包括内部登出方法和外部登出方法;
S611、内部登出方法为:采集用户的登出操作,基于会话关系表提取相应令牌并基于所述令牌生成登出请求并发送至外部系统,令对应外部帐号登出,同时执行登出操作,令内部帐号登出;
即,用户于内部系统中进行登出操作时,在登出内部帐号的同时,基于会话关系表登出相应的外部帐号。
S612、外部登出方法为:基于会话关系表提取相应令牌,基于所述令牌实时检测相应外部账户的登录状态,当所述登录状态为登出时,令对应内部帐号登出;
即,基于会话关系表检测令牌的有效性,用户于外部系统中进行登出操作后对应令牌无效,从而表示外部帐号的登录状态为登出,从而自动控制对应的内部帐号登出。
S620、所述内部帐号登出后于所述会话关系表中删除相应的会话关系。
现有技术中,进行单点登录的内部系统和外部系统相互独立,在安全性要求高的场景下,往往需要用户分别登出内部系统和外部系统,操作繁琐便捷性不高,本实施例中基于会话关系表的设计,实现单点登出,提高登出便捷性。
以下通过一个具体的案例对本实施例所公开的单点登录方法进行详细介绍:
外部系统为企业系统,内部系统为服务系统;
1、预准备:
将企业系统接入服务系统,企业系统向服务系统提供token验证地址,服务系统向企业系统提供单点登录接口。
服务系统生成标识该企业系统的用户标识和密钥,将用户标识和密钥发给企业系统,并将用户标识录入白名单中。
管理员将企业系统中各外部帐号同步至服务系统,由服务系统建立与各外部帐号一一对应的内部帐号。
2、单点登录:
某员工利用其外部帐号登录企业系统,登录成功后生成相应的token;
该员工操作外部系统单点登录服务系统时,外部系统生成相应的登录数据,登录数据包括用户标识和token,并基于秘钥生成该登录数据对应的签名,获得登录信息。
外部系统将登录信息发送至服务系统,服务系统先提取用户标识并将其在白名单中进行匹配;
匹配成功时,服务系统利用密钥进行加签,生成验证签名,基于验证签名进行验签;
验签成功时,提取token,并基于token生成已加密的验证信息,按照token验证地址将其发送至企业系统的认证服务器验证token有效性。
认证服务器验证token有效时,提取外部帐号,将外部帐号发送至服务系统,由服务系统基于帐号映射关系提取相应的内部帐号,并基于内部帐号登录服务系统。
如用户为新入职的员工,缺少相映射的内部帐号,服务系统将自动新建内部帐号并建立账户映射关系。
3、会话管理:
单点登录成功后,服务系统建立内部会话,并建立所述内部会话与企业系统的会话关系,将会话关系加入会话关系表;
服务系统对会话关系表中各企业系统的token进行实时检测,当token的过期时间与当前时间的差值达到预设的刷新阈值时,基于token生成刷新请求并发送至对应的企业系统,由企业系统刷新该token的过期时间,保持外部账户的登录。
4、单点登出(用户可自行配置单点登出或独立登出):
用户于服务系统上进行登出操作:
服务系统采集用户的登出操作,基于会话关系表查询与该内部会话对应的企业系统,提取该外部系统的token;
基于的token生成登出请求并发送至企业系统,企业系统基于所述登出请求登出对应外部帐号;
同时执行登出操作,令内部帐号登出,并所述会话关系表中删除相应的会话关系。
用户与企业系统上进行登出操作:
企业系统检测并执行用户的登出操作,此时对应外部账户的token失效;
服务系统对会话关系表中各企业系统的token进行实时检测,当token的失效时控制对应的内部帐号登出,并所述会话关系表中删除相应的会话关系。
实施例2、一种单点登录系统,如图2所示,包括接收模块100、验证模块200、帐号映射模块300和登录模块400;
所述接收模块100,用于获取外部系统的登录请求,所述登录请求包括令牌;登录请求还包括用户标识和签名;
所述验证模块200,用于对所述令牌进行验证,验证成功时,获取相对应的外部帐号;
所述帐号映射模块300,用于获取与所述外部帐号相映射的内部账号;
所述登录模块400,用于基于所述内部账号完成登录。
参照图3,上述验证模块200包括校验单元210、验签单元220、验证单元230和外部帐号获取单元240;
所述校验单元210,用于基于预设的白名单对所述用户标识进行匹配;
所述验签单元220,用于匹配成功后,对所述签名进行验签;
所述验证单元230,用于验签成功后,对所述令牌进行验证,被配置为:提取预设的令牌验证地址,基于所述令牌验证地址将所述令牌发送至外部系统的验证服务器,由所述外部系统的验证服务器验证所述令牌是否有效;
所述外部帐号获取单元240,用于当所述令牌有效时,接收由所述外部系统的验证服务器返回的外部帐号,否则接收验证失败信息。
参照图4,所述帐号映射模块300包括查询单元310、帐号提取单元320和帐号新建单元330;
所述查询单元310,用于从预设的认证数据库中对所述外部帐号的帐号映射关系进行查询,获得查询结果;
所述帐号提取单元320,用于当所述查询结果为帐号映射关系时,基于所述帐号映射关系提取相映射的内部帐号;
所述帐号新建单元330,用于当所述查询结果为空时,新建内部帐号,并创建相应的账户映射关系,令所述内部帐号与所述外部帐号相映射。
进一步地,还包括会话模块500,所述会话模块500被配置为:
基于所述内部账号完成登录后,创建内部会话,并创建所述内部会话与外部系统的会话关系,生成会话关系表;
基于会话关系表,刷新相应令牌的过期时间。
进一步地,还包括单点登出模块600,参照图5,其包括内部登出单元610、外部登出单元620和会话关系删除单元630;
内部登出单元610,用于采集用户的登出操作,基于会话关系表提取相应令牌并基于所述令牌生成登出请求并发送至外部系统,令对应外部帐号登出,同时执行登出操作,令内部帐号登出;
外部登出单元620,用于基于会话关系表提取相应令牌,基于所述令牌实时检测相应外部账户的登录状态,当所述登录状态为登出时,令对应内部帐号登出;
会话关系删除单元630,用于所述内部帐号登出后于所述会话关系表中删除相应的会话关系。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
实施例3、一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现实施例1所述方法的步骤。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是:
说明书中提到的“一个实施例”或“实施例”意指结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,说明书通篇各个地方出现的短语“一个实施例”或“实施例”并不一定均指同一个实施例。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
此外,需要说明的是,本说明书中所描述的具体实施例,其零、部件的形状、所取名称等可以不同。凡依本发明专利构思所述的构造、特征及原理所做的等效或简单变化,均包括于本发明专利的保护范围内。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (10)
1.一种单点登录方法,其特征在于包括以下步骤:
获取外部系统的登录请求,所述登录请求包括令牌;
对所述令牌进行验证,验证成功时,获取相对应的外部帐号;
获取与所述外部帐号相映射的内部账号;
基于所述内部账号完成登录。
2.根据权利要求1所述的单点登录方法,其特征在于:
提取预设的令牌验证地址,基于所述令牌验证地址将所述令牌发送至外部系统的验证服务器,由所述外部系统的验证服务器验证所述令牌是否有效;
当所述令牌有效时,接收由所述外部系统的验证服务器返回的外部帐号,否则接收验证失败信息。
3.根据权利要求1所述的单点登录方法,其特征在于:
从预设的认证数据库中对所述外部帐号的帐号映射关系进行查询,获得查询结果;
当所述查询结果为帐号映射关系时,基于所述帐号映射关系提取相映射的内部帐号;
当所述查询结果为空时,新建内部帐号,并创建相应的账户映射关系,令所述内部帐号与所述外部帐号相映射。
4.根据权利要求1所述的单点登录方法,其特征在于:
所述登录请求还包括用户标识和签名;
对所述令牌进行验证前,还包括信息校验步骤,具体步骤为:
基于预设的白名单对所述用户标识进行匹配;
匹配成功后,对所述签名进行验签;
验签成功后,对所述令牌进行验证。
5.根据权利要求1至4任一所述的单点登录方法,其特征在于,基于所述内部账号完成登录后,还包括会话步骤:
创建内部会话,并创建所述内部会话与外部系统的会话关系,生成会话关系表;
基于会话关系表,刷新相应令牌的过期时间。
6.根据权利要求5所述的单点登录方法,其特征在于,生成会话关系表后还包括单点登出的方法,具体包括内部登出方法和外部登出方法;
内部登出方法为:采集用户的登出操作,基于会话关系表提取相应令牌并基于所述令牌生成登出请求并发送至外部系统,令对应外部帐号登出,同时执行登出操作,令内部帐号登出;
外部登出方法为:基于会话关系表提取相应令牌,基于所述令牌实时检测相应外部账户的登录状态,当所述登录状态为登出时,令对应内部帐号登出;
所述内部帐号登出后于所述会话关系表中删除相应的会话关系。
7.一种单点登录系统,其特征在于包括:
接收模块,用于获取外部系统的登录请求,所述登录请求包括令牌;
验证模块,用于对所述令牌进行验证,验证成功时,获取相对应的外部帐号;
帐号映射模块,用于获取与所述外部帐号相映射的内部账号;
登录模块,用于基于所述内部账号完成登录。
8.根据权利要求7所述的单点登录系统,其特征在于,还包括会话模块,所述会话模块被配置为:
创建内部会话,并创建所述内部会话与外部系统的会话关系,生成会话关系表;
基于会话关系表,刷新相应令牌的过期时间。
9.根据权利要求8所述的单点登录系统,其特征在于,还包括单点登出模块,其包括内部登出单元和外部登出单元;
内部登出单元,用于采集用户的登出操作,基于会话关系表提取相应令牌并基于所述令牌生成登出请求并发送至外部系统,令对应外部帐号登出,同时执行登出操作,令内部帐号登出;
外部登出单元,用于基于会话关系表提取相应令牌,基于所述令牌实时检测相应外部账户的登录状态,当所述登录状态为登出时,令对应内部帐号登出;
所述内部帐号登出后于所述会话关系表中删除相应的会话关系。
10.一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至6任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010638962.5A CN111814130B (zh) | 2020-07-06 | 2020-07-06 | 单点登录方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010638962.5A CN111814130B (zh) | 2020-07-06 | 2020-07-06 | 单点登录方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111814130A true CN111814130A (zh) | 2020-10-23 |
| CN111814130B CN111814130B (zh) | 2024-03-26 |
Family
ID=72856820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010638962.5A Active CN111814130B (zh) | 2020-07-06 | 2020-07-06 | 单点登录方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111814130B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822258A (zh) * | 2020-12-31 | 2021-05-18 | 北京神州数字科技有限公司 | 银行开放系统接入方法及系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013004005A (ja) * | 2011-06-21 | 2013-01-07 | Kyocera Document Solutions Inc | 電子機器、認証プログラム及び認証方法 |
| CN103248661A (zh) * | 2012-02-13 | 2013-08-14 | 宇龙计算机通信科技(深圳)有限公司 | 账号绑定的方法及其系统 |
| CN104735021A (zh) * | 2013-12-18 | 2015-06-24 | 腾讯科技(深圳)有限公司 | 一种帐号登录方法、装置和系统 |
| CN107347068A (zh) * | 2017-07-10 | 2017-11-14 | 恒生电子股份有限公司 | 单点登录方法及系统、电子设备 |
| CN109274685A (zh) * | 2018-11-02 | 2019-01-25 | 深圳壹账通智能科技有限公司 | 多系统登录方法、装置、计算机设备和存储介质 |
| CN109409043A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109474600A (zh) * | 2018-11-20 | 2019-03-15 | 麒麟合盛网络技术股份有限公司 | 一种账号绑定方法、系统、装置及其设备 |
| CN109688150A (zh) * | 2018-12-29 | 2019-04-26 | 奥克斯空调股份有限公司 | 一种多平台账号互通方法及装置 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110336820A (zh) * | 2019-07-09 | 2019-10-15 | 中国联合网络通信集团有限公司 | 单点登出方法、装置、设备、存储介质及系统 |
| CN110895603A (zh) * | 2019-11-05 | 2020-03-20 | 泰康保险集团股份有限公司 | 多系统账号信息整合方法和装置 |
| CN110933092A (zh) * | 2019-12-03 | 2020-03-27 | 银清科技有限公司 | 一种基于jwt的单点登录实现方法及装置 |
| CN111209349A (zh) * | 2019-12-26 | 2020-05-29 | 曙光信息产业(北京)有限公司 | 一种更新会话时间的方法和装置 |
| CN111371725A (zh) * | 2018-12-25 | 2020-07-03 | 成都鼎桥通信技术有限公司 | 一种提升会话机制安全性的方法、终端设备和存储介质 |
-
2020
- 2020-07-06 CN CN202010638962.5A patent/CN111814130B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013004005A (ja) * | 2011-06-21 | 2013-01-07 | Kyocera Document Solutions Inc | 電子機器、認証プログラム及び認証方法 |
| CN103248661A (zh) * | 2012-02-13 | 2013-08-14 | 宇龙计算机通信科技(深圳)有限公司 | 账号绑定的方法及其系统 |
| CN104735021A (zh) * | 2013-12-18 | 2015-06-24 | 腾讯科技(深圳)有限公司 | 一种帐号登录方法、装置和系统 |
| CN107347068A (zh) * | 2017-07-10 | 2017-11-14 | 恒生电子股份有限公司 | 单点登录方法及系统、电子设备 |
| CN109409043A (zh) * | 2018-09-03 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 应用系统的登录方法、终端设备及介质 |
| CN109274685A (zh) * | 2018-11-02 | 2019-01-25 | 深圳壹账通智能科技有限公司 | 多系统登录方法、装置、计算机设备和存储介质 |
| CN109474600A (zh) * | 2018-11-20 | 2019-03-15 | 麒麟合盛网络技术股份有限公司 | 一种账号绑定方法、系统、装置及其设备 |
| CN111371725A (zh) * | 2018-12-25 | 2020-07-03 | 成都鼎桥通信技术有限公司 | 一种提升会话机制安全性的方法、终端设备和存储介质 |
| CN109688150A (zh) * | 2018-12-29 | 2019-04-26 | 奥克斯空调股份有限公司 | 一种多平台账号互通方法及装置 |
| CN109936579A (zh) * | 2019-03-21 | 2019-06-25 | 广东瑞恩科技有限公司 | 单点登录方法、装置、设备及计算机可读存储介质 |
| CN110336820A (zh) * | 2019-07-09 | 2019-10-15 | 中国联合网络通信集团有限公司 | 单点登出方法、装置、设备、存储介质及系统 |
| CN110895603A (zh) * | 2019-11-05 | 2020-03-20 | 泰康保险集团股份有限公司 | 多系统账号信息整合方法和装置 |
| CN110933092A (zh) * | 2019-12-03 | 2020-03-27 | 银清科技有限公司 | 一种基于jwt的单点登录实现方法及装置 |
| CN111209349A (zh) * | 2019-12-26 | 2020-05-29 | 曙光信息产业(北京)有限公司 | 一种更新会话时间的方法和装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822258A (zh) * | 2020-12-31 | 2021-05-18 | 北京神州数字科技有限公司 | 银行开放系统接入方法及系统 |
| CN112822258B (zh) * | 2020-12-31 | 2023-04-07 | 北京神州数字科技有限公司 | 银行开放系统接入方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111814130B (zh) | 2024-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556006B (zh) | 第三方应用系统登录方法、装置、终端及sso服务平台 | |
| CN107332808B (zh) | 一种云桌面认证的方法、服务器及终端 | |
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| US20170289134A1 (en) | Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database | |
| CN110381031B (zh) | 单点登录方法、装置、设备及计算机可读存储介质 | |
| CN109981561A (zh) | 单体架构系统迁移到微服务架构的用户认证方法 | |
| CN101374050B (zh) | 一种实现身份认证的装置、系统及方法 | |
| CN107948204A (zh) | 一键登录方法及系统、相关设备以及计算机可读存储介质 | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| CN109325342A (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
| US9332433B1 (en) | Distributing access and identification tokens in a mobile environment | |
| CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| CN108632241B (zh) | 一种多应用系统统一登录方法和装置 | |
| JP5940671B2 (ja) | Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム | |
| CN113132402B (zh) | 单点登录方法和系统 | |
| CN101951321A (zh) | 一种实现身份认证的装置、系统及方法 | |
| CN107872440B (zh) | 身份鉴权方法、装置和系统 | |
| CN105162774A (zh) | 虚拟机登陆方法、用于终端的虚拟机登陆方法及装置 | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| KR20050071768A (ko) | 원타임 패스워드 서비스 시스템 및 방법 | |
| CN111814130B (zh) | 单点登录方法及系统 | |
| CN110995661B (zh) | 一种网证平台 | |
| CN109460647B (zh) | 一种多设备安全登录的方法 | |
| JP6368062B1 (ja) | 認証装置,認証装置の制御方法およびそのプログラム | |
| CN104753755B (zh) | 系统接入方法、装置、应用客户端和im后台系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |